Cloud-Angriffsanalyse liefert Erkenntnisse zu Händen Sicherheitsprofis

BLACK HAT EUROPE 2021 – LONDON – Eine Angriffsgruppe, die zu Händen Cloud-spezifische Kampagnen traut ist, die uff Anmeldeinformationen von Amazon Web Services (AWS) abzielen, hat kürzlich ihr Toolkit erweitert, um mehr Anmeldeinformationen von gezielten Cloud-Systemen zu stehlen und neue Taktiken zur Nutzbarmachung containerisierter Kubernetes-Systeme einzusetzen.

Die TeamTNT-Typ wurde erstmals im August 2020 gesichtet, sagte Chris Doman, Mitbegründer und CTO von Cado Security, in einem Vortrag uff jener dieswöchigen Black Hat Europe. Er sah sich in diesem warme Jahreszeit verdongeln Schadsoftware-Feed an, denn ihm dasjenige Logo jener Typ ins Oculus fiel. Dasjenige Skript jener Angreifer nahm eine AWS-Root-Anmeldedatei und schickte sie an ihren Server. Hinaus selbige Weise könnten sie den Zugriffsschlüssel erhalten, jener es ihnen ermöglicht, Dateien in S3 herunterzuladen, EC2-Instances zu starten und zu stoppen und andere Funktionen zu nutzen.

Doman veröffentlichte verdongeln Blogbeitrag jenseits die Aktivitäten jener Typ, und die Forscher erfuhren, dass die Typ ziemlich zwischenmenschlich war. „Man kommt nicht oft in eine Situation, in jener Hacker einem tatsächlich eine Nachricht senden“, sagte James Campbell, Mitbegründer und Vorstandsvorsitzender von Cado Security, in Cados Vortrag ” und “Es existiert nicht!”

Immerhin die Betriebsamkeit jener Angreifer habe eine Wurmfunktion, sagte Campbell, jener hinzufügte, dass sich jener Angriffsvektor um APIs dreht. „Im Wesentlichen scannen Angreifer den IP-Staatsgut, sehen offene APIs, kompromittieren selbige Maschinen und zeugen dann genauso noch einmal .”

TeamTNT macht dies mit Kubernetes-APIs, die nicht authentifiziert und publik zugänglich waren. Sie resultieren mehrere Shell-Befehle aus, einfahren manche Skripte herunter und resultieren Prozesse aus, einschließlich eines Massenscans anderer öffentlicher IP-Bereiche. Sie werden sich zweite Geige die LAN-Bereiche eines Ziels ansehen. Wenn in Folge dessen ein Kubernetes-Knoten kompromittiert wird, sind Änderungen zweite Geige gut, wenn andere homolog konfiguriert sind, fügte er hinzu.

„Wenn Sie falsch konfigurierte Kubernetes-Cluster oder anfällige Kubernetes-Cluster nach sich ziehen und selbige publik zugänglich sind, sind sie wahrscheinlich schon kompromittiert. … So schnell passiert dasjenige“, sagte Campbell. Die Typ wählt zweite Geige Docker-APIs aus, bemerkte er und fügte hinzu, dass es Protokolldateien gibt, die Kubernetes und Docker generieren, damit Teams sehen können, ob sie kompromittiert wurden.

Nachdem die Typ ein Netzwerk kompromittiert hat, kann TeamTNT den Zugriff unter anderem mit dem IRC-Bot mannhaft erhalten, sagte Doman. “Es ist ziemlich klassisches Zeug; sie verwenden den Tsunami IRC-Bot und es funktioniert problemlos.” Er hat sich letzte Woche mit dem Angreifer-Server verbunden und 221 Clients verbunden gesehen, welches 220 Todesopfer und ein Angreifer bedeutet. TeamTNT verwendet zweite Geige Weavescope, ein legitimes Kubernetes-Verwaltungstool, mit dem Benutzer Container stoppen und starten können. Angreifer installieren es uff Hosts, die sie kompromittieren, und suchen nachher offenen Weavescope-Installationen, um sie zu verbinden und zu kompromittieren.

In Bezug uff die Eskalation von Berechtigungen und den Klauerei von Anmeldeinformationen stiehlt die Typ immer noch AWS-Anmeldeinformationen, ist jedoch ausgefeilter denn im letzten warme Jahreszeit, sagte Doman. Es richtet die Umgebungsvariablen an ein System, in dem Kennwörter vorhanden sind, und die Docker-Umgebungsvariablen. Seit dem Zeitpunkt einigen Monaten kratzt die Typ die AWS-Metadaten-URL, die ihr den Zugriff uff andere Fakten rund um dasjenige System gewährt.

Die Typ hat sich zweite Geige jenseits die AWS-Anmeldeinformationen hinaus erweitert, um zweite Geige uff Anmeldedateien von jener Google Cloud Platform abzuzielen, bemerkte Doman. TeamTNT plant zweite Geige, Azure in seine Ziele aufzunehmen, die Angreifer jenseits verdongeln Gruppen-Twitter-Benutzerkonto geteilt nach sich ziehen. “Sie sind viel gesprächiger denn die durchschnittlichen Hacker”, sagte er. Welche Veränderungen könnten zumindest teilweise uff Abwehrmaßnahmen zurückzuführen sein.

„Sie finden es jetzt wirklich schwierig, weil AWS sehr schnell erkennt, wenn sie selbige Schlüssel stehlen“, fügte Doman hinzu.

Zu den neuen Tools, die ihrem Waffenarsenal hinzugefügt wurden, in Besitz sein von Docker Escape von GitHub und Break Out the Päckchen, dasjenige Google Cloud-Anmeldeinformationen und andere Metadaten abfragt. Ein weiteres Tool namens Infection Monkey soll feststellen, welche Zugangsdaten zögernd sind. TeamTNT betrieb seinen eigenen Infection Monkey-Server, gefährdete andere Netzwerke und verwies ihn uff seinen eigenen Server, um mehr Informationen jenseits die Zielumgebungen zu erhalten.

Welches Organisationen tun können
Dasjenige Ziel von TeamTNT in diesen Kampagnen ist Kryptomining, sagte Campbell, zwar er ist mehr sorgsam darüber, welches die Angreifer notfalls mit den Informationen ausfressen könnten, uff die sie zupacken können. Am offensichtlichsten sei die Datenexfiltration.

“Viele dieser Container nach sich ziehen Zugriff uff Datenbanken und sensible Informationen, Dateifreigaben”, erklärte er. “Ein Angreifer könnte offensichtlich irgendetwas mehr Zeit mit diesen Containern verleben und eröffnen, manche Fakten zu stehlen. Dasjenige könnte zu Lösegeld resultieren.”

Die Angreifer könnten zweite Geige Nutzungen kompromittieren, da in vielen Containern Webanwendungen oder Webdienste vollzogen werden. Sie könnten dort Kode einschmuggeln und Drive-by-Downloads einfädeln. “Die Welt ist deine Auster”, witzelte er. Im Erfolgsfall könnte dasjenige Opferunternehmen aufgrund seiner Kubernetes-Umgebung zum Drittrisiko werden.

In jener Cloud könnten selbige Angriffe es TeamTNT geben, Ressourcen hochzufahren oder zu zerstören, ihre Anmeldeinformationen zu Händen den Zugriff uff andere Teile jener Umgebung zu verwenden und Konten zu erstellen, um Konsolenzugriff zu erhalten.

Doman riet Unternehmen, Firewall-Schalten zu verwenden, um den Zugriff uff APIs einzuschränken, und erwägen, verdongeln zugelassenen Art und Weise zu Händen ihren Firewall-Regelsatz zu verwenden. Teams sollten AWS-Anmeldedatendateien identifizieren und löschen, wenn sie nicht gewünscht werden, und beim Zuweisen von Schlingern die geringsten Rechte verwenden. Er empfahl zweite Geige, den Netzwerkverkehr uff Verbindungen zu Mining-Pools zu revidieren oder dasjenige Stratum-Mining-Protokoll zu verwenden. Unternehmen sollten zweite Geige Entwicklermaschinen revidieren, die eine gute Test jenseits die Produktionsumgebungen nach sich ziehen.

Er und Campbell schrieben anderen Organisationen wie Trend Micro und Intezer ihre zusätzliche Arbeit c/o jener Erprobung von TeamTNT zu, dasjenige seit dieser Zeit letztem Jahr zu einem Schwerpunktthema vieler Forschungsteams geworden ist.